نویسنده : آرین محمد | تعداد بازدید : 5629 | تاریخ : ۱۳۹۱/۹/۷

آنالیز بدافزار (Online SandBox)

آنالیز بدافزار یکی از جذابترین مباحث دنیا امنیت است که امروزه در میان متخصصین ایرانی نیز محبوب گشته. اما شاید فکر کنید که آنالیز یک بدافزار کاری بسیار سخت و نیاز به دانش بسیار بالا دارد به خصوص در برنامه نویسی و مهندسی معکوس! راستش اصلا نمی توانم با شما مخالف باشم !!! اما می توانم بگویم این همه چیز نیست!. کمی گیج کننده بود؟ خوب بگذارید با هم بیشتر این موضوع را بررسی کنیم.


به صورت کلي آناليز بدافزار به دو بخش اصلي آناليز ايستا (Static) و آناليز پويا (Dynamic) تقسيم مي شود. در بخش آناليز ايستا شما نياز به دانش زيادي در برنامه نويسي و مهندسي معکوس داريد و همچنين آشنايي کامل با ابزارهايي مانند IDA pro و يا OllyDbg نيز يک اصل اساسي است.


اما براي رفتارشناسي يک فايل مشکوک مي توانيد از آناليز پويا که نياز به دانش خيلي زيادي در برنامه نويسي ندارد استفاده کنيد. در آناليز پويا ما به از يک سري ابزارها براي ردگيري رفتارهاي يک مورد مشکوک استفاده مي کنيم.


يکي از اين ابزارها SandBox است. اما SandBox چيست؟


SandBox يک فناوري و ابزار است که هم توسط متخصصين آناليز بدافزار و هم توسط آنتي ويروس ها مورد استفاده مي گيرد. به طور کلي SandBox يک محيط مجازي و امن است که مي توان مورد مشکوک را در آن اجرا و رفتار برنامه را مورد بررسي قرار داد بدون آنکه به سيستم اصلي آسيبي برسد. شما نيز مي توانيد يک SandBox براي تحقيق خود بر روي سيستم خود فراهم کنيد. ابزارهايSandBox آماده رايگان بسياري بر روي اينترنت هست که مي توانيد بهره ببريد ولي اگر الان نگران درگيري دوباره با کدهاي python و ++C شديد اصلا نگران نباشيد!، زيرا خبر خوب اين است که SandBox هاي آنلاين رايگان زيادي بر روي اينترنت قرار دارند که مي توان از آنها بهره برد.


با من همراه شويد تا با هم يک SandBox آنلاين را بررسي کنيم.


من برا مثال از SandBox مورد علاقه خودم www.threatexpert.com/submit استفاده مي کنم.


وقتي که يک فايل مشکوک را وارد مي کنيد پايگاه داده threatexpert بررسي مي کند که آيا مورد مشکوک قبلا بررسي شده است يا خير، اگر جواب مثبت باشد شما مي توانيد گزارش کامل آن را مطالعه کنيد.


در غير اين صورت برنامه مشکوک بر محيط مجازي بررسي مي شود و مواردي مانند پروسه هاي ايجاد شده، تغييرات حافظه، تغييرات کليد هاي رجيستري، محلهايي که برنامه خود را کپي کرده است و کلي از موارد ديگر بررسي گشته و گزارش کاملي را براي شما نمايش مي دهد.


حال يک مورد را به صورت کلي بررسي مي کنيم.




در اينجا يک گزارش مختصر در مورد نمونه مورد بررسي ارائه مي شود.




مي توانيد تغييرات حافظه و تغييرات رجيستري را مشاهده کنيد


5 دیدگاه در مورد آنالیز بدافزار (Online SandBox) بیان شده است
avatarحامد۱۳۹۳/۱۰/۲۶

اصلا بیا خودت از حفظ اینارو دوباره بگو ... والا نمیتونی

avatarپارسا۱۳۹۱/۱۲/۲۸

دوست عزیز, 2 تا توصیه برتون دارم: 1- درباره چیزی که ازش سر در نمیارید چیزی ننویسید. تعریف سند باکس رو بخونید, سرچ که بلدید؟ 2- این 2 تا متد رو خودتون اخترع کردید؟ صاحب نظری هستید برا خودتون :)) البته خوب این نظر که منتشر نمیشه ولی خوب برا خودت گفتم که بدونی که 1 درصد میفهمن :))

avatarنیازمند۱۳۹۱/۱۲/۱۳

تشکر مفید بود

avatarدانشجو۱۳۹۱/۱۲/۲

مفید بود ولی کم بود لطفا حجمش رو بیشتر کنید!

avatarm.sattari۱۳۹۱/۱۰/۱۰

مفید بو د متشکرم لطفا مطالب بیشتری بنویسید و این بخش را فعالتر کنید

دیدگاه خود را بیان نمایید
نام *  
ایمیل (منتشر نمی شود ) *
یادداشت *